نفوذ به کارگزار اینستاگرام

ممکن است تا به حال به این فکر کرده‌ باشید که بخواهید حساب شبکه‌ی اجتماعی فیس‌بوک و یا اینستاگرام را مورد نفوذ قرار دهید. خب یک نفر این کار را انجام داده‌ است!
اما به خاطر داشته باشید حتی در صورتی که به طور مسئولانه‌ای اقدام به گزارش یک آسیب‌پذیری امنیتی کنید، مکن است این امر منجر به پیگری‌های قانونی علیه‌تان شود!
یک محقق مستقل امنیتی ادعا کرده‌ است پس از این‌که به طور مسئولانه‌ای اقدام به انتشار یک سری آسیب‌پذیری‌های امنیتی و اشکالات تنظیماتی کرده‌است از جانب فیس‌بوک تهدید شده‌ است. این اشکالات به او اجازه داده ‌است به داده‌های حساس ذخیره‌شده بر روی کارگزارهای اینستاگرام از جمله موارد زیر دسترسی یابد:

کد منبع وب‌‌گاه اینستاگرام
-گواهی‌های SSL و کلید‌های خصوصی برای اینستاگرام
-کلید‌هایی که برای امضای کوکی‌های تصدیق هویت به کار می‌روند
-اطلاعات شخصی کاربران اینتاگرام و کارمندان آن
-اطلاعات ورود به کارگزار رایانامه

فیس‌بوک به جای این‌که به او پاداش دهد، تهدید کرده‌ است که که به جرم افشای اشکالات و آسیب‌پذیری‌ها و هم‌چنین نگه‌داری اطلاعات کاربران و تیم این شرکت، او را تحت پیگرد قانونی قرار می‌دهد.
وسلی وین‌برگ، که یک محقق ارشد امنیتی در Synack‌است، پس از آن‌که توسط یکی از دوستانش در جریان اطلاعات اندکی درباره‌ی آسیب‌پذیری احتمالی یکی از کارگزارهای اینستاگرام در sensu.instagram.com قرار گرفت، اقدام به شرکت در برنامه کشف اشکال فیس‌بوک کرده و شروع به تحلیل سامانه‌‌های اینستاگرام نموده ‌است.
این محقق یک اشکال RCE(اجرای کد از راه دور) در کوکی‌های جلسه کاربران پیدا کرده ‌است. این کوکی‌ها معمولاً برای به خاطرسپاری اطلاعات ورود کاربران استفاده می شوند.
اشکال اجرای کد از راه دور، احتمالاً به دلیل ۲ ضعف است:
برنامه‌ی وب Sensu-Admin که بر روی کارگزار اجرا می‌شود یک توکن پنهان دارد که به صورت سخت‌افزاری کد شده ‌است.
میزبان نسخه‌ای از روبی (Ruby ۳.x) را اجرا می‌کند که مستعد اجرای کد از طریق کوکی جلسه‌ی روبی است.
با بهره‌گیری از این اسیب‌پذیری وینبرگ توانسته‌ بود کارگزار را مجبور کند پایگاه ‌داده‌ای را در اختیار قرار دهد که شامل اطلاعات ورود، و اطلاعات کارمندان فیس‌بوک و اینستاگرام است.
اگرچه کلمات عبور از طریق «bcypt» رمزشده‌ بودند، وینبرگ توانسته بود برخی از این کلمات عبور را که خیلی ضعیف بودند در عرض چند دقیقه بشکند (کلمات عبوری از جمله changeme,instagram,password).
وینبرگ فقط به این مقدار نفوذ اکتفا نکرده‌ بود.او به برخی دیگر از پرونده‌‌های تنظیمات که بر روی کارگزار یافته‌بود نیز نگاهی انداخته و فهمیده بود که یکی از این پرونده‌ها حاوی کلید‌های حساب‌های کاربری سرویس وب آمازون است. این سرویس، سرویس رایانش ابری است که برای میزبانی راه‌اندازی sensu در اینستاگرام استفاده شده‌ است.
این کلید‌ها ۸۲ عدد از باکت‌های (واحد‌های ذخیره‌سازی حافظه) آمازون S۳ را فهرست کرده‌ بودند، اما این باکت‌ها منحصربه‌فرد بودند. او نتوانست مورد خاصی در این پرونده‌ بیاید، اما زمانی که نگاهی به نسخه‌های قدیمی‌تر از این پرونده‌ انداخت، جفت کلید دیگری را پیدا کرد که به او اجازه می‌داد محتوای همه‌ب ۸۲ باکت را بخواند.
-بدین ترتیب وین‌برگ بدون داشتن قرض قبلی توانسته بود به همه چیز دست یابد؛ از جمله:
-گواهی‌های SSL‌ و کلید‌های خصوصی (از جمله برای instagram.com و *.instagram.com)
-کلید‌های واسط برنامه‌نویسی(API) که برای تعامل با سایر سرویس‌های استفاده شده بودند.
-تصاویری که توسط کاربران اینستاگرام بارگذاری شده‌بودند.
-محتوای ایستا وب‌گاه instagram.com
-اطلاعات ورود به کارگزار رایانامه
-کلیدهای امضای برنامه‌ی iOS/android
-و سایر داده‌های حساس

وینبرگ در این خصوص در وبلاگ خود می‌گوید: «شاید گفتن این موضوع که من تقریباً توانسته‌ام به همه‌ی کلید‌های رمز اینستاگرام دست پیدا کنم، درست باشد. با این کلید‌ها، می‌توانم خود را به جای اینستاگرام، و یا هر کاربر و یا کارمندی در این شرکت جا بزنم. علاوه بر آن می‌توانم به سادگی کنترل کامل حساب کاربری کاربران را به دست گرفته و به داده‌های و تصاویر شخصی آن‌ها دست‌ یابم.»

افشای مسئولانه از سوی این محقق، اما تهدید فیس‌بوک به پیگیری قانونی
وینبرگ یافته‌های خود را در اختیار تیم امنیتی فیس‌بوک قرار داده ‌است، اما این غول شبکه‌ی اجتماعی بزرگ نگران این موضوع است که او به داده‌‌های شخصی کاربران و کارمندان دسترسی پیدا کرده ‌است.
به جای این‌که فیس‌بوک برای این تلاش وینبرگ پاداشی در نظر بگیرد، او را برای برنامه‌ی کشف اشکال خود تأیید صلاحیت نکرده است.
وینبرگ مدعی شده است، در اوایل ماه دسامبر، رئیس او در شرکت Synack، جی کاپلان، تماس تهدید‌آمیزی از سوی مدیر امنیتی فیس‌بوک یعنی الکس استاموس دریافت کرده ‌است. در این تماس به رئیس او گفته شده ‌است که ضعف‌های کشف‌شده توسط وینبرگ اینستاگرام و فیس‌بوک را در معرض حملات سایرین قرار می‌دهد.
استاموس گفته‌بود: «نمی‌خواهیم تیم قانونی فیس‌بوک را درگیر این مسأله کنیم، اما مطمئن نیستیم، شاید کار به جایی بکشد که بخواهیم از مجاری قانونی این کار را پیگیری کنیم.»
استاموس در بیانیه‌ای و در پاسخ به انتشار این خبر، گفته است که Synack و یا وینبرگ را به پیگیرد قانونی تهدید نکرده و هم‌چنین از رئیس وینبرگ نخواسته ‌است او را اخراج کند.
استاموس می‌گوید فقط به کاپلان گفته ‌است سعی کند این پرونده به دور از وکلای دو طرف حل شود.

پاسخ فیس‌بوک
پس از انتشار این خبر از سوی این محقق، فیس‌بوک نیز در مقام پاسخ بر آمده و گفته‌ است که این ادعاها دروغ بوده و هرگز به وینبرگ گفته نشده‌ است یافته‌هایش را منتشر نکند؛ بلکه فقط از او خواسته شده ‌است اطلاعات شخصی را منتشر نکند.
این غول شبکه‌ی اجتماعی وجود اشکال اجرای کد از راه دور را در دامنه‌ی sensu.instagram.com تأیید کرده‌ و گفته ‌است ۲۵۰۰ دلار را به عنوان پاداش به وینبرگ و دوستش که او را در این مسیر راهنمایی کرده ‌است می‌پردازد.
اگرچه، سایر آسیب‌پذیری‌هایی که به وینبرگ امکان داده‌ بود دسترسی به داده‌های حساس را به دست آورد هنوز تأیید نشده‌اند. در عین حال در این مورد فیس‌بوک می‌گوید وینبرگ در دسترسی به این داده‌ها حریم شخصی کاربران را نقض کرده‌ است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap